I TRE MOSCHETTIERI
2 Febbraio 2021
UNO, NESSUNO O CENTOMILA (BIT)
18 Febbraio 2021
Dall’articolo precedente sappiamo che i sistemi di identificazione dell’utente fanno riferimento a qualcosa che conosciamo, siamo o possediamo.
Il “qualcosa che conosciamo” è il classico, giornaliero e standardizzato sistema di login (procedura di accesso a un sistema informatico) che prevede l’inserimento di un codice identificativo (username) e di una parola d’ordine (una password o un codice PIN – Personale Identification Number, cioè un numero di identificazione personale).
Quando l’unico modo di accedere alle informazioni in un computer o dispositivo è una tastiera, questa appare la scelta più logica, ma usare questo fattore di autenticazione da solo non è la scelta ideale sotto il profilo della sicurezza.
Una password può essere aggirata, forzata, persa o intercettata, sia agendo sul sistema con cui stiamo interagendo, sia utilizzando un idoneo virus informatico.
Il sistema più diffuso al mondo per impadronirsi del PIN o della password di qualcuno è lo SDS, ovvero “Sbircia Dietro le Spalle”. Provate a passare soltanto 5 minuti osservando i clienti che pagano col bancomat ad una cassa di un supermercato (automatica o con operatore in carne ed ossa) e ne verificherete le potenzialità, potendo segnarvi tutti i pin delle carte di debito e le password di accesso di tutte quelle persone (troppe) che, assurdamente, non si preoccupano che qualcuno possa star osservandoli.
La stessa cosa si può fare con gli avventori di un bar o i frequentatori di una sala di attesa o di una biblioteca, che aprono le proprie mail di un device senza nemmeno alzare gli occhi per vedere chi hanno intorno.
Storia tristemente comune di molte denunce è il fatto che molte di quelle persone le potrete ritrovare in biblioteca o nello stesso supermercato con le borse tranquillamente lasciate aperte sul tavolo o nel cesto per bambini del carrello della spesa, mentre loro scelgono, girate di spalle, frutta, verdura o un trattato sulla pittura naif di Serafine Luis o “Un cervo in metropolitana” di Desmond Morris…
Per concludere: qualunque codice personale è un sistema di verifica non ideale, accettabile solo in assenza di altre possibilità: quando lo dobbiamo utilizzare, quindi, va fatto con tutte le cautele del caso.
Basterebbe veramente poco: a volte anche solo mettere una mano sopra la tastiera mentre si immette il codice o non abbandonare borse e borsellini…
Un piccolo utile trucco per sfruttare il fatto che il codice PIN del bancomat mi viene assegnato dalla banca e quindi non ha alcun riferimento diretto con la mia vita personale: se lo inserisco come elemento aggiuntivo da qualche parte dentro una password per renderla più lunga (vedi articolo sulle password), ho un elemento che non solo me la rende più sicura, ma che mi aiuta a memorizzarlo per quando mi servirà per un prelievo.
